S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 10 février 2005
N° CERTA-2005-AVI-059
Affaire suivie par: CERT-FR
le 10 février 2005

Avis du CERT-FR

Objet: Vulnérabilité dans le composant ActiveX DHTML

Gestion du document

Référence CERTA-2005-AVI-059
Titre Vulnérabilité dans le composant ActiveX DHTML
Date de la première version 10 février 2005
Date de la dernière version 10 février 2005
Source(s) Bulletin de sécurité Microsoft MS05-013 du 08 février 2005
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • atteinte à la confidentialité des données.

Systèmes affectés

  • Microsoft Windows 2000 Service Pack 3 & 4 ;
  • Microsoft Windows XP Service Pack 1 & 2 ;
  • Microsoft Windows XP 64-bit Edition Service Pack 1 ;
  • Microsoft Windows XP 64-bit Edition Version 2003 ;
  • Microsoft Windows Server 2003 ;
  • Microsoft Windows Server 2003 pour systèmes Itanium.

Résumé

Une vulnérabilité découverte dans le composant ActiveX DHTML Help permet à un utilisateur mal intentionné d'exécuter à distance du code arbitraire sur le système vulnérable ou de porter atteinte à la confidentialité des données.

Description

Le composant ActiveX Dynamic HyperText Markup Language (DHTML) présente une vulnérabilité de type cross-domain qui permet à un individu mal intentionné de porter atteinte à la confidentialité des données du système vulnérable ou d'exécuter du code arbitraire avec les privilèges de la victime, au moyen d'une page ou d'un e-mail malicieusement contruit en HTML.

Solution

Se réferer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. Documentation).

Documentation

Gestion détaillée du document

    le 10 février 2005
    version initiale.